🥇Nftables Packet Filter 1.0.2 издание

Изданието на пакетен филтър nftables 1.0.2 беше публикувано, обединявайки интерфейсите за филтриране на пакети за IPv4, IPv6, ARP и мрежови мостове (насочени към замяна на iptables, ip6table, arptables и ebtables). Промените, необходими за работа на изданието nftables 1.0.2, са включени в ядрото на Linux 5.17-rc.

Пакетът nftables включва компоненти за филтър на пакети, които работят в потребителското пространство, докато нивото на ядрото се предоставя от подсистемата nf_tables, която е част от ядрото на Linux от версия 3.13. На ниво ядро се предоставя само общ интерфейс, независим от протокол, който предоставя основни функции за извличане на данни от пакети, извършване на операции с данни и контролиране на потока.

Самите правила за филтриране и специфичните за протокола манипулатори се компилират в байт код на потребителското пространство, след което този байт код се зарежда в ядрото с помощта на интерфейса Netlink и се изпълнява в ядрото в специална виртуална машина, наподобяваща BPF (Berkeley Packet Filters). Този подход прави възможно значително намаляване на размера на филтриращия код, работещ на ниво ядро, и преместване на всички функции на правилата за анализ и логиката на работа с протоколи в потребителското пространство.

Основни иновации:

Добавен е режим за оптимизация на правила, активиран чрез новата опция "-o" ("--optimize"), която може да се комбинира с опцията "--check", за да проверите и оптимизирате промените във файла с набор от правила, без действително да го зареждате . Оптимизацията ви позволява да комбинирате подобни правила, например правилата: meta iifname eth1 ip saddr 1.1.1.1 ip daddr 2.2.2.3 accept meta iifname eth1 ip saddr 1.1.1.2 ip daddr 2.2.2.5 accept ip saddr 1.1.1.1 ip daddr 2.2.2.2 .2.2.2.2 приеме ip saddr 3.3.3.3 ip daddr XNUMX drop
ще бъдат комбинирани в мета iifname. ip saddr. ip daddr {eth1. 1.1.1.1. 2.2.2.3, eth1. 1.1.1.2. 2.2.2.5 } accept ip saddr. ip daddr vmap { 1.1.1.1 . 2.2.2.2 : приемам, 2.2.2.2 . 3.3.3.3 : капка }

Примерна употреба: # nft -c -o -f ruleset.test Обединяване: ruleset.nft:16:3-37: ip daddr 192.168.0.1 counter accept ruleset.nft:17:3-37: ip daddr 192.168.0.2 counter accept ruleset.nft:18:3-37: ip daddr 192.168.0.3 counter accept into: ip daddr { 192.168.0.1, 192.168.0.2, 192.168.0.3 } counter packets 0 bytes 0 accept
Списъците с набори реализират възможността за указване на ip и tcp опции, както и sctp парчета: set s5 { typeof ip option ra value elements = { 1, 1024 } } set s7 { typeof sctp chunk init num-inbound-streams elements = { 1, 4 } } верига c5 { ip опция ra стойност @s5 приема } верига c7 { sctp chunk init num-inbound-streams @s7 приема }
Добавена е поддръжка за TCP опции fastopen, md5sig и mptcp.
Добавена е поддръжка за използване на подтипа mp-tcp в съпоставяния: tcp опция mptcp подтип 1
Подобрен код за филтриране от страна на ядрото.
Flowtable вече има пълна поддръжка за JSON формат.
Осигурена е възможност за използване на действието „отхвърляне“ в операциите за съвпадение на Ethernet кадри. ether saddr aa:bb:cc:dd:ee:ff ip daddr 192.168.0.1 отхвърляне

Източник: opennet.ru

nftables пакетен филтър версия 1.0.2

Добавяне на нов коментар

nftables пакетен филтър версия 1.0.2

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар